Arbeta med IP-intervall och taggar
För att enkelt identifiera kända IP-adresser, till exempel ip-adresser för ditt fysiska kontor, måste du ange IP-adressintervall. Med IP-adressintervall kan du tagga, kategorisera och anpassa hur loggar och aviseringar visas och undersöks. Varje grupp med IP-intervall kan kategoriseras baserat på en förinställd lista över IP-kategorier. Du kan också skapa anpassade IP-taggar för dina IP-intervall. Dessutom kan du åsidosätta information om offentlig geoplats baserat på dina interna nätverkskunskaper. Både IPv4 och IPv6 stöds.
Defender for Cloud Apps är förkonfigurerat med inbyggda IP-intervall för populära molnleverantörer som Azure och Microsoft 365. Dessutom har vi inbyggd taggning baserat på Microsofts hotinformation, inklusive anonym proxy, Botnet och Tor. Du kan se den fullständiga listan i listrutan på sidan IP-adressintervall.
Kommentar
- Om du vill använda de här inbyggda taggarna som en del av en sökning kan du läsa deras ID i dokumentationen för Defender for Cloud Apps API.
- Du kan lägga till IP-intervall i bulk genom att skapa ett skript med HJÄLP av API:et FÖR IP-adressintervall.
- Du kan inte lägga till IP-intervall med överlappande IP-adresser.
- Om du vill visa API-dokumentationen går du till API-dokumentationen.
Inbyggda IP-adresstaggar och anpassade IP-taggar betraktas hierarkiskt. Anpassade IP-taggar har företräde framför inbyggda IP-taggar. Om till exempel en IP-adress taggas som Riskfylld baserat på hotinformation men det finns en anpassad IP-tagg som identifierar den som Företag, har den anpassade kategorin och taggarna företräde.
Skapa ett IP-adressintervall
I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under System väljer du IP-adressintervall. Välj Lägg till IP-adressintervall för att lägga till IP-adressintervall och ange följande fält:
Namnge ditt IP-intervall. Namnet visas inte i aktivitetsloggen. Den används bara för att hantera ditt IP-intervall.
Ange varje IP-adressintervall som du vill konfigurera. Du kan lägga till så många IP-adresser och undernät du vill med hjälp av nätverkprefixnotation (kallas även CIDR-notering), till exempel 192.168.1.0/32.
Kategorier används för att enkelt identifiera aktiviteter från viktiga IP-adresser i dina loggar och aviseringar. Kategorier är tillgängliga i portalen. De kräver dock vanligtvis användarkonfiguration för att avgöra vilka IP-adresser som ingår i varje kategori. Undantaget till den här konfigurationen är kategorin Riskfylld , som innehåller två IP-taggar – anonym proxy och Tor.
Följande kategorier är tillgängliga:
Administration: Dessa IP-adresser bör vara alla IP-adresser som används av dina administratörer.
Molnleverantör: Dessa IP-adresser bör vara de IP-adresser som används av molnleverantören. Använd den här kategorin om molnleverantören inte identifieras automatiskt.
Företag: Dessa IP-adresser bör vara alla offentliga IP-adresser för ditt interna nätverk, dina avdelningskontor och dina Wi-Fi-roamingadresser.
Riskfylld: Dessa IP-adresser bör vara alla IP-adresser som du anser vara riskfyllda. De kan innehålla misstänkta IP-adresser som du har sett tidigare, IP-adresser i dina konkurrenters nätverk och så vidare.
VPN: Dessa IP-adresser bör vara alla IP-adresser som du använder för distansarbetare. Genom att använda den här kategorin kan du undvika att skapa omöjliga reseaviseringar när anställda ansluter från sina hemplatser via företagets VPN.
Om du vill inkludera IP-intervallet i en kategori väljer du en kategori i den nedrullningsbara menyn.
Om du vill tagga aktiviteterna från de här IP-adresserna anger du en tagg. Om du anger ett ord i rutan skapas taggen. När du redan har en konfigurerad tagg kan du enkelt lägga till den i ytterligare IP-intervall genom att välja den i listan. Du kan lägga till mer än en IP-tagg för varje intervall. IP-taggar kan användas när du skapar principer. Tillsammans med IP-taggar som du konfigurerar har Defender for Cloud Apps inbyggda taggar som inte kan konfigureras. Du kan se en lista över taggar under filtret för IP-taggar.
Kommentar
- IP-taggar läggs till i aktiviteten utan att åsidosätta data.
- Flera taggar kan tillämpas på samma IP-intervall.
Om du vill åsidosätta den registrerade internetleverantören eller åsidosätt platsen eller för dessa adresser markerar du den relevanta kryssrutan. Om du till exempel har en IP-adress som anses vara offentligt i Irland, men du vet att IP-adressen finns i USA. Du åsidosätter platsen för ip-adressintervallet. Eller om du inte vill att ett IP-adressintervall ska associeras med en registrerad Internetleverantör kan du åsidosätta den registrerade Internetleverantören.
Välj Skapa när du är klar.
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.